Tuần trước, các nhà nghiên cứu tại công ty bảo mật đám mây Sysdig công bố họ đã ghi nhận trường hợp đầu tiên về 'ransomware tác nhân' (agentic ransomware). Đây là một chiến dịch tống tiền có tên JadePuffer, trong đó một tác nhân AI (AI agent) đảm nhận toàn bộ quá trình thực thi kỹ thuật của một cuộc tấn công mạng thực tế, từ đầu đến cuối. Tác nhân này đột nhập vào một máy chủ dễ bị tổn thương, đánh cắp thông tin đăng nhập, di chuyển qua mạng mục tiêu, mã hóa tập tin và thậm chí tự viết thư đòi tiền chuộc, thích ứng với các trở ngại như một hacker con người.

Vai trò của con người trong cuộc tấn công

Trong một cuộc phỏng vấn với CyberScoop hôm thứ Hai (06/07/2026), Michael Clark, Giám đốc cấp cao về nghiên cứu mối đe dọa của Sysdig, làm rõ rằng con người vẫn tham gia rất nhiều - chỉ không phải ở khâu thực thi kỹ thuật. 'Con người vẫn thiết lập và chỉ đạo chiến dịch, cung cấp cơ sở hạ tầng phía sau, máy chủ chỉ huy và kiểm soát, máy chủ trung gian dùng để lưu trữ dữ liệu đánh cắp và chọn nạn nhân,' Clark nói. Ông cho biết thêm, thông tin đăng nhập dùng để đột nhập vào cơ sở dữ liệu của nạn nhân không phải do AI thu thập; ai đó đã lấy chúng riêng biệt thông qua một vụ xâm phạm trước đó và chuyển cho chiến dịch.

Chi tiết kỹ thuật của cuộc tấn công

Điều này không mâu thuẫn với tuyên bố ban đầu của Sysdig, và các chi tiết kỹ thuật của cuộc tấn công vẫn rất đáng chú ý. Tác nhân đột nhập thông qua một lỗi đã biết trong Langflow, một công cụ mã nguồn mở phổ biến để xây dựng ứng dụng LLM (mô hình ngôn ngữ lớn), sau đó di chuyển đến máy chủ MySQL sản xuất và khai thác một lỗ hổng đã biết khác để giành quyền truy cập quản trị. Nó mã hóa hơn 1.300 bản ghi cấu hình và không chỉ để lại thư đòi tiền chuộc tự viết mà còn để lại địa chỉ Bitcoin để gửi tiền chuộc. Sysdig chưa tiết lộ ai là mục tiêu.

Tốc độ và tính minh bạch của AI

Các kỹ thuật được sử dụng khá thông thường, nhưng điểm nổi bật là tốc độ và tính minh bạch. Tác nhân đã sửa lỗi đăng nhập thất bại trong 31 giây, đồng thời ghi lại quá trình suy luận của mình bằng các chú thích mã ngôn ngữ tự nhiên xuyên suốt.

Làm rõ về các mô hình AI được sử dụng

Một chi tiết ban đầu gây nhầm lẫn đã được làm rõ. Clark từng nói với CyberScoop rằng Sysdig phát hiện 'nhiều mô hình đã được sử dụng trong cuộc tấn công', dẫn chứng các khóa API thu thập được của OpenAI, Anthropic, DeepSeek và Gemini. Khi được yêu cầu làm rõ, Clark nói với TechCrunch rằng những khóa đó chỉ là một phần trong số tài sản mà tác nhân đánh cắp, không phải bằng chứng cho thấy mô hình nào đang điều khiển nó.

'Tác nhân quét máy chủ Langflow để tìm bất cứ thứ gì có giá trị - khóa API nhà cung cấp, thông tin đăng nhập đám mây, ví tiền điện tử và cấu hình cơ sở dữ liệu - và những khóa nhà cung cấp đó là một phần của chiến lợi phẩm,' ông nói qua email. 'Chúng cho thấy kẻ tấn công coi trọng thứ gì, nhưng không cho chúng tôi biết mô hình nào đang đưa ra quyết định.'

Về mô hình thực sự chạy JadePuffer, Clark cho biết Sysdig 'không thể xác định mô hình cụ thể điều khiển tác nhân' và không có thông tin về prompt hệ thống hay cấu hình của nó.

Giả thuyết của chuyên gia Microsoft

Giả thuyết của nhà nghiên cứu Microsoft Geoff McDonald, đưa ra trên LinkedIn vài ngày trước, đáng được xem xét lại. McDonald nghi ngờ một mô hình trọng số mở (open-weight model) đã bị loại bỏ lớp huấn luyện an toàn, thay vì một mô hình tiên tiến (frontier model), đứng sau cuộc tấn công, dựa trên kinh nghiệm red-teaming của ông cho thấy các lớp an toàn của các phòng thí nghiệm tiên tiến hoạt động tốt. Tài khoản của Sysdig không xác nhận cũng không loại trừ điều này.

Tác động và triển vọng

Bài đăng của McDonald cũng cảnh báo rằng các chiến dịch ransomware hiện bị giới hạn chủ yếu bởi ngân sách của kẻ tấn công thay vì nỗ lực của con người, làm dấy lên khả năng 'hàng nghìn hoặc hàng chục nghìn chiến dịch đồng thời'. Tuy nhiên, lo ngại này khó phù hợp với những gì Clark mô tả hôm thứ Hai: nếu con người vẫn phải chọn từng nạn nhân, cung cấp cơ sở hạ tầng và lấy thông tin đăng nhập cơ sở dữ liệu cho mỗi chiến dịch, thì đó là một điểm nghẽn.

Dù sao, Clark nói với CyberScoop rằng mặc dù Sysdig chưa thấy cùng một chiến dịch tấn công các nạn nhân khác, nhưng với chi phí vận hành một tác nhân rẻ, ông dự đoán điều đó sẽ thay đổi.

Theo TechCrunch

Ảnh: Tima Miroshnichenko / Pexels